本帖最后由 qidi2015 于 2016-4-17 16:19 编辑
开始前,最好把现有的规则保存一份
[root@di09 ~]# iptables-save > ipt.rule
然后iptables -F 清空规则 免得影响我们实验
1、本机ping通外网,外网ping不通本机iptables -I INPUT -p icmp --icmp-type 8 -j DROP #把入站的icmp请求包丢弃
或者
iptables -I OUTPUT -p icmp --icmp-type 0 -j DROP
DROP比较暴力,插入上面的规则后,用Windows去ping我们的实验机器,直接显示“请求超时”
如果我们用 iptables -I INPUT -p icmp --icmp-type 8 -j REJECT (REJECT拒绝数据包通过,必要的时候会给发送端一个回应信息,比方说抓了对方的人,给对方带句话,人是我们抓的。)
如果用REJECT的话。ping 的回显是如下所示,无法连到端口
来自 192.168.0.185 的回复: 无法连到端口。
2、只允许指定的ip通过SSH登录到本机
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
这里要注意,虚拟机用NAT模式的话,从真机进入虚拟机的源IP,应该是VMnet8的IP地址。
3、开放多个端口,如web和ftp
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
4、开放一个端口段,有些变态的监控需要很多端口(记得数据包要有去有回才能通)
iptables -A INPUT -p tcp --dport 3000:3389 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3000:3389 -j ACCEPT
5、阻止本机使用FTP
iptables -A OUTPUT -p tcp --dport 21 -j DROP
6、阻塞发送到特定IP地址的流量
iptables -A OUTPUT -d 59.51.78.211 -j DROP
最后 iptables-restore < ipt.rule 恢复系统默认防火墙。
7、about 默认策略
iptables -F 清空的是链规则,如果你设了 iptables -P INPUT DROP
一定要谨慎使用iptables -F ,否则你会被关在门外。
开始前,最好把现有的规则保存一份
[root@di09 ~]# iptables-save > ipt.rule
然后iptables -F 清空规则 免得影响我们实验
1、本机ping通外网,外网ping不通本机iptables -I INPUT -p icmp --icmp-type 8 -j DROP #把入站的icmp请求包丢弃
或者
iptables -I OUTPUT -p icmp --icmp-type 0 -j DROP
DROP比较暴力,插入上面的规则后,用Windows去ping我们的实验机器,直接显示“请求超时”
如果我们用 iptables -I INPUT -p icmp --icmp-type 8 -j REJECT (REJECT拒绝数据包通过,必要的时候会给发送端一个回应信息,比方说抓了对方的人,给对方带句话,人是我们抓的。)
如果用REJECT的话。ping 的回显是如下所示,无法连到端口
来自 192.168.0.185 的回复: 无法连到端口。
2、只允许指定的ip通过SSH登录到本机
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
这里要注意,虚拟机用NAT模式的话,从真机进入虚拟机的源IP,应该是VMnet8的IP地址。
3、开放多个端口,如web和ftp
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
4、开放一个端口段,有些变态的监控需要很多端口(记得数据包要有去有回才能通)
iptables -A INPUT -p tcp --dport 3000:3389 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3000:3389 -j ACCEPT
5、阻止本机使用FTP
iptables -A OUTPUT -p tcp --dport 21 -j DROP
6、阻塞发送到特定IP地址的流量
iptables -A OUTPUT -d 59.51.78.211 -j DROP
最后 iptables-restore < ipt.rule 恢复系统默认防火墙。
7、about 默认策略
iptables -F 清空的是链规则,如果你设了 iptables -P INPUT DROP
一定要谨慎使用iptables -F ,否则你会被关在门外。
编辑回复